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(§4) Procede de transmission d'information confldentlelle entre deux cartes a puces. 



(§7) L'invention conceme la transmission cryptee d'une in- 
formation (Kd) entre deux cartes ci microprocesseur (CM, 
CP). On crypte reformation dans la premiere carte, on 
transmet rinformation cryptee de la premiere carte & la 
deuxieme, et on decrypte I'information dans la deuxieme 
carte. La particularite de l'invention est que Ton utilise une 
cle de cryptage puisee dans une reserve de cles potentiel- 
les qui est constitute par la memoire morte (120 pour CM, 
220 pour CP) de la carte. Pour que les deux cartes puis- 
sent utiliser la meme cle sans faire transiter cette cle en 
clair entre les deux cartes, on utilise un index, engendre 
par la premiere carte et transmis & la deuxieme carte. La 
cle est le contenu du fichier de memoire morte & I'adresse 
definie par I' index. 

Application k la transmission d'une cle secrete (Kd), di- 
versifiee £ partir d'une cle de base (KF), entre une carte de 
diversification (CM) et une carte & personaliser (CP). 
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PROCEDE DE TRANSMISSION D 1 INFORMATION CONF I D ENTI EKLE 
ENTRE DEUX CARTES A PUCES 



L 1 invention concerne la securite dans les 
applications des cartes a puces. Plus precisement elle 
concerne la transmission securisee d ' informations entre 
deux cartes a puces. 

On decrira l f invention a propos d'un cas 
particulier, bien que l 1 invention ait des applications 
plus generales. Ce cas particulier est celui de 
1 1 elaboration de cles de cryptage secretes, diversifiees 
a partir d'une cle de base, qui doivent etre placees 
dans des cartes S puces qu'on veut utiliser dans une 
application determinee. 

Pour une application determinee, application 
bancaire par exemple, l'emetteur de cartes a puces (la 
banque par exemple) va distribuer une carte a chaque 
client, Cette carte devra comporter dans sa memoire 
interne une cle de cryptage secrete, non connue et non 
accessible meme par le titulaire de la carte. Cette cle 
servira a crypter la transmission d 1 informations entre 
la carte et l'appareil de transaction qui va utiliser la 
carte. L'appareil de transaction connaitra la cle 
secrete, pour pouvoir decrypter la transmission. 

La cle secrete sera differente pour chaque carte, 
et c f est pourquoi elle est appelee cle divers if iee. 

II est done necessaire, a un certain stade de 
1 1 elaboration des cartes, de placer une meme cle secrete 
a la fois dans la carte d'un titulaire et dans 
I'appareil de transaction (ou dans le systeme 
inf ormatique general qui pilote les appareils de 
transaction) . II y a done necessite de transmettre une 
information conf identielle d'un organe a un autre. 
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Cette operation est delicate car il y a un risque 
qu'une personne chargee de ce travail et pouvant done 
avoir de ce fait acces aux cles secretes, ne s'en serve 
pour realiser f rauduleusement des cartes ayant toutes 
5 les capacites des cartes legitimes. 

Evidemment on peut crypter a nouveau la 
transmission de 1 ' information conf identielle. Mais pour 
cela il faut une cle de cryptage et cette cle doit aussi 
etre transmise. On n'a fait que reporter le probleme. 

10 Par exemple, une technique de production d'une cle 

diversifiee pour une application a utilisateurs 
multiples est la suivante : on utilise deux cartes a 
puces semblables, dont I'une est une carte maitresse 
chargee d'elaborer et . eventuellement de garder en 

15 memoire la cle diversifiee, et 1' autre est une carte 
esclave ou carte a personnaliser, devant recevoir dans 
sa memoire la cle secrete diversifiee qu'elle devra 
utiliser par la suite pour des operations 
d'authentif ication. La carte maitresse pourra servir a 

20 transporter, vers les appareils de transaction ou vers 
le systeme qui les gere, la liste des cles diversifiees 
autorisees. 

Dans cette technique, la carte maitresse contient 
un microprocesseur avec une memoire de programmes, et 

25 dans cette memoire un programme d 1 elaboration de cle 
diversifiee. Mais comme la cle diversifiee ne doit pas 
circuler en clair entre les deux cartes (pour eviter les 
fraudes) , la carte comprend aussi un programme de 
cryptage pour envoyer la cle diversifiee sous une forme 

30 indechif frable. La cle diversifiee est done calculee, 
puis cryptee; le resultat du cryptage est envoye a la 
carte a personnaliser . 

La carte a personnaliser contient aussi un 
microprocesseur et une memoire de programmes, et dans 
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cette memo ire un programme de decrypt age permettant de 
retrouver la cle diversif iee a partir du signal crypte 
qu'elle regoit. 

Le programme de cryptage utilise une cle secrete de 
5 cryptage qui, bien entendu, doit r ester conf identielle, 
faute de quoi une reconstitution de cles divers if iees 
serait possible, entralnant le risque de production 
frauduleuse de cartes. 

Mais le programme de decryptage doit connaitre 
10 cette cle, faute de quoi il ne pourrait pas reconstituer 
la cle diversif iee qu'il attend. II faut done que la 
carte a personnaliser contienne, dans une zone de 
memoire inaccessible, cette meme cle de cryptage. Et par 
consequent il faut qu'a un moment ou un autre du procede 
15 de cryptage on place dans les deux cartes a la fois une 
meme cle de cryptage, qui ne sert que provisoirement 
pour envoy er de la carte maitresse vers la carte a 
personnaliser la cle diversif iee. 

II y a done un risque qu'une personne mal 

2 0 intentionnee utilise la connaissance qu'elle a de cette 

cle pour reconstituer a des fins frauduleuses tout le 
processus de fabrication d f une cle diversif iee. Cette 
personne pourrait alors realiser de fausses "vraies 
cartes" . 

25 Le but de I 1 invention est d f eviter ce risque par un 

moyen relativement simple. 

Selon 1" invention, on utilise le fait que la carte 
maitresse et la carte a personaliser ont dans leur 
memoire morte des programmes ou des portions de 

3 0 programmes identiques, ne serait-ce que parce qu'elles 

sont faites par le meme fabricant, ou parce qu f elles ont 
un systeme d' exploitation identique ou parce qu'elles 
respectent des criteres de normalisation identiques. 
Dans la pratique, la memoire morte des deux cartes sera 
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meme rigour eusement identique. 

L'idee maitresse de 1» invention est d'utiliser 
comme cle de cryptage commune aux deux cartes une donnee 
prise parmi un fichier (et de preference le fichier de 
5 memoire morte du systeme d f exploitation de la carte) 
dont le contenu et 1 1 organisation sont identiques dans 
les deux cartes, la donnee etant designee a partir d'un 
index transmis d'une carte a l 1 autre et susceptible de 
varier, 

10 Par consequent, au lieu d' avoir a inscrire dans 

deux cartes differentes une cl§ de cryptage commune avec 
le risque que cette inscription double permette ensuite 
une fraude, on utilise comme cle de cryptage un contenu 
deja inscrit mais inconnu a priori et pouvant varier 

15 d'une operation a une autre . Si de plus l'adresse & 
laquelle on va chercher ce contenu varie de maniere 
aleatoire, on about it 3. une tres grande securite. 

Selon un aspect de 1' invention, on propose done un 
precede de transmission cryptee d'une information entre 

20 deux cartes a microprocesseur qui ont chacune un ficliier 
de memoire a plusieurs adresses, ce fichier ayant un 
contenu identique pour les deux cartes, precede dans 
lequel on crypte 1 1 information dans la premiere carte, 
on transmet 1 1 information cryptee de la premiere carte a 

25 la deuxieme, et on decrypte 1 1 information dans la 
deuxieme carte, ce procede etant caracterise en ce que 
le cryptage et le decryptage sont ef f ectues avec pour 
cle le contenu d'une partie seulement du fichier de 
memoire, identifiee par une donnee d'adressage qui est 

30 utilisee par la premiere carte et transmise a la 
deuxieme carte . 

La donnee d'adressage peut etre une adresse 
proprement dite, mais de preference elle sera plutot un 
index a partir duquel on peut calculer une adresse, Les 
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deux cartes possedent alors en memoire le meme programme 
de calcul d'une adresse a partir d'une valeur d 1 index. 

Selon un aspect important de 1' invention, c'est la 
memoire morte de la carte, celle qui contient le systeme 
d 1 exploitation de la carte qui va etre utilisee. Elle 
constitue en ef fet un f ichier dans lequel on peut puiser 
un grand nombre de cles (chaque cle correspondant par 
exemple a un mot ou plusieurs mots consecutifs de 
memoire) • 

L 1 invention est applicable notamment mais non 
exclusivement au cas evoque dans le preambule, a savoir 
le cas ou 1 1 information a transmettre de maniere cryptee 
entre les deux cartes est elle-meme une cle de cryptage; 
et notamment lorsque cette information est une cle 
diversif iee qui doit etre calculee par la premiere carte 
et stockee de maniere confident ielle dans la deuxieme. 

Une maniere de mettre en oeuvre 1' invention 
consiste a utiliser, pour chaque operation de 
transmission cryptee entre les deux cartes, un 
generateur de donnee aleatoire interne a 1 * une des 
cartes (de preference la premiere) ; ce generateur 
fournira une donnee non previsible pouvant servir 
d 1 index pour le calcul d'une adresse de memoire de 
chaque carte* Cet index aleatoire permettra de definir 
une cle de cryptage; il sera utilise par la premiere 
carte pour crypter la transmission, et il sera envoye a 
la deuxieme carte en meme temps que 1 1 information 
cryptee pour permettre le decryptage. Lors d'une 
nouvelle operation, le generateur aleatoire fournira une 
autre adresse de memoire* 

D'autres caracteristiques et avantages de 
1* invention apparaitront a la lecture de la description 
detaillee qui suit et qui est faite en reference aux 
dessins annexes dans lesquels : 
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la figure 1 represente un systeme de 
diversification de cle dans lequel la presente invention 
peut etre mise en oeuvre; 

- la figure 2 represente schematiquement les deux 
5 cartes du systeme; 

- la figure 3 represente les etapes principales du 
procede de transmission securisee de l 1 invention. 

L 1 invention est applicable de maniere gSnerale a la 
transmission d 1 information cryptee entre deux cartes 

10 ayant chacune au moins une memoire f igee dont le contenu 
est commun aux deux cartes; la description qui suit sera 
donnee en reference a l'exemple particulier de la 
transmission d'une cle diversifiee entre une carte 
maitresse et une carte a personaliser avec une cle 

15 diversifiee. 

A la figure 1 on a done represente un systeme 
capable de recevoir deux cartes et de permettre un 
dialogue entre les deux cartes. Le systeme peut etre un 
microordinateur a usage general PC avec un clavier CL, 

2 0 un ecran SC et deux lecteurs de cartes LCI et LC2, ' ou 

bien ce peut etre un systeme specialement con<?u pour 
l 1 operation de diversification. II doit pouvoir realiser 
la transmission d 1 informations entre deux cartes a 
puces . 

25 L f une des cartes est la carte maitresse CM; l 1 autre 

est la carte a personaliser CP. 

Les deux cartes sont des cartes a microprocesseur , 
comportant un microprocesseur, une memoire vive de 
travail (RAM) , une memoire morte de programmes (ROM) 

3 0 contenant au moins le systeme d 1 exploitation de la 

carte, et une memoire non volatile electriquement 
inscriptible (EPROM ou EEPROM ou Flash EPROM) . Cette 
derniere mSmoire contient en principe des programmes 
d 1 application, mais elle peut contenir aussi d'autres 
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donnees, et notamment des numeros d 1 identification, et 
la cle secrete diversifiee qu'on va chercher a y mettre. 
Classiquement, certaines zones de la memoire non 



accessibles en lecture et en ecriture, sauf par le 
microprocesseur dans certains programmes du systeme 
d 1 exploitation . 

Le contenu de la memoire morte de programmes n'est 
d'ailleurs pas accessible sur les bornes exterieures de 
la carte. Seul le microprocesseur peut aller le 
chercher, uniquement lors de certains programmes du 
systeme d 1 exploitation. 

Sur la figure 2 on a represents les deux cartes 
sous forme schematique, avec leur microprocesseur s (MP1 
pour la carte maltresse, MP2 pour la carte a 
personaliser) , leur memoire vive (110, 210) leur memoire 
morte (120, 220) leur memoire non volatile (130, 230) , 
et un interface de communication avec I'exterieur (140, 
240) . 

L 1 elaboration de la cle diversifiee, & placer a la 
fois dans la memoire non volatile de la carte a 
personaliser et dans la memoire non volatile de la carte 
maltresse, se fait comme suit : 

Une donnee NS est envoyee par la carte a 
personaliser CP a la carte maltresse CM. Cette donnee 
peut etre le numero de serie de la carte, inscrit dans 
sa memoire non volatile 230. 

Cette donnee sert a l 1 elaboration de la cle 
diversifiee Kd qu'on veut elaborer. 

Par exemple, la valeur Kd est elaboree a partir de 
NS par une fonction de cryptage a cle secrete C(NS,KF) 
oil KF est une cle secrete contenue dans la carte 
maltresse. Le programme de calcul de cette fonction est 
contenu dans la memoire de la carte MP et est execute 
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par le microprocesseur de cette carte. La fonction C() 
est de preference l'algorithme standard DES ("Data 
Encryption Standard") publie par le National Bureau of 
Standards des USA, dans Federal Register vol 40, N°52 du 
5 17 Mars 1975 et N° 149 du ler Aoiit 1975. 

La cle diversifiee Kd a mettre dans la carte a 
personaliser est done Kd = C(NS,KF) . Elles est destinee 
a etre transmise a la carte a personaliser, mais par 
ailleurs elle peut etre enregistree dans la carte 
10 maitresse , ou etre envoyee par tout moyen a 
l 1 application dans laquelle la carte sera utilisee. La 
carte maitresse peut elle-meme servir de vecteur de 
transmission vers un ordinateur central de cette 
application. 

15 Dans certains cas, il n'est meme pas necessaire de 

conserver la cle Kd autrement que dans la carte a 
personaliser. C'est le cas lorsque 1 • application ne 
cherche pas a verifier precisement chaque cle 
diversifiee mais cherche tout simplement a verifier si 

20 la cle presente dans la carte est bien une cle 
diversifiee a partir d'une cle de base KF determinee. 

Pour ne pas transmettre en clair la cle Kd a la 
carte a personaliser on procede de la maniere indiquee 
ci-apres . 

25 Un index I de valeur aleatoire, non repetitive 

d'une etape de diversification de cle a une autre est 
elabore. 

Sommairement, on peut creer cet index a partir d'un 
generateur pseudo-aleatoire physique , ou avec un 
30 programme contenu dans la memoire de la carte maitresse; 
ce programme peut utiliser le contenu d f un registre non 
volatile increments a chaque nouvelle operation et une 
fonction de cryptage telle que l'algorithme DES, 
eventuellement avec la meme cle secrete KF deja utilisee 
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precedemment ou avec n'importe quelle autre cle. Le 
nombre ainsi genere peut etre considere comme aleatoire 
et non repetitif pour les besoins pratiques. 

L* index de valeur aleatoire I va servir a calculer 
une adresse de memo ire morte. Pour augmenter la 
securite, on prefere ne pas utiliser directement I 9 index 
comme adresse ou comme saut d* adresse. Mais on effectue 
un calcul, par exemple une fonction polynomiale, pour 
generer une adresse AD = P(I) . On s l arrange pour que 
cette adresse reste contenue dans des limites telles que 
n'importe quelle adresse ainsi generee designe un mot de 
memoire d'un fichier identique dans les deux cartes. 

Le programme de calcul de 1» adresse AD a partir de 

I est contenu dans une memoire de la carte maltresse, 
mais aussi dans une memoire de la carte a personaliser . 

L ■ index I sera transmis en clair a la carte a 
personaliser . 

L 1 adresse AD est utilisee par le microprocesseur 
qui va lire dans la memoire de la carte, a l f adresse AD, 
un contenu qui sera considere comme une cle de crypt age 
Kc pour une fonction de cryptage D(Kd,Kc) de la cle de 
diversification Kd. 

Le fichier choisi pour servir ainsi de reserve de 
cles de cryptage est le fichier de memoire morte, celui 
qui contient le systeme d 1 exploitation de la memoire, 
car d'une part il est identique pour les deux cartes, et 
d* autre part il contient suffisamment de mots pour 
constituer une reserve de nombreuses cles de cryptage 
possibles. 

Le programme de cryptage D() qui va utiliser la cle 
trouvee a l 1 adresse AD est contenu dans la memoire de la 
carte maitresse; il est execute et le resultat D(Kd,Kc) 
est transmis a la carte a personaliser en meme temps que 

I I index I . 
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La carte a personaliser regoit 1" index I, execute 
la meme fonction polynomiale, qu'elle a en raemoire 
(morte ou non volatile) , determine I 1 adresse AD, va 
chercher son contenu qui est le meme contenu Kc que dans 
1' autre carte du fait que la zone de memoire designee 
est identique dans les deux cartes. 

La carte a personaliser comporte par ailleurs un 
programme de decryptage D~l() qui est 1' inverse du 
programme de cryptage D() et qui permet done de 
retrouver Kd en utilisant la meme cle Kc qui a servi a 
crypter Kd. 

Autrement dit, si U = D(Kd,Kc), alors 

Kd = D-l(U,Kc) . 

La cle diversifiee Kd est done retrouvee, et 
stockee dans la memoire non volatile de la carte a 
personaliser (zone inaccessible, c f est-a-dire ne pouvant 
pas etre utilisee autrement que par le microprocesseur 
pour les besoins des f onctions de cryptage) . 

La cle diversifiee Kd peut egalement etre stockee 
dans la memoire de la carte maitresse CM. 

Seul a transite en clair entre les deux cartes 
l 1 index I. Celui-ci represente non pas un cryptage reel 
mais une dissimulation de 1 1 adresse AD. 

Mais meme si un fraudeur arrivait a connaltre 
1* adresse AD qui a servi au moment du cryptage, il faut 
comprendre que 

- d'une part, le fraudeur ne connalt pas le contenu 
du fichier (inaccessible) qui est utilise come reserve 
de cles; 

- d' autre part, l 1 index et done 1' adresse AD sont 
renouveles a chaque fois d'une maniere aleatoire et par 
consequent 1 1 observation d'une transmission ne permet 
pas de deduire des enseignements pour une procliaine 
fois. 
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La figure 3 rappelle les principales etapes de ces 
operations . 

On pourrait envisager d'utiliser comme memoire 
commune aux deux cartes non pas la memoire morte de 
programme de systeme de la carte mais une memoire 
electriquement prograinmable (non accessible en ecriture 
effacement ou lecture) pourvu qu f elle ait un contenu 
identique pour les deux cartes. 

La cle de cryptage Kc trouvee a l'adresse AD peut 
etre constitute par un mot a cette adresse, ou plusieurs 
mots consecutifs debutant a l'adresse AD, ou encore une 
fraction du mot a l 1 adresse AD. On peut aussi envisager 
des solutions plus complexes de choix de la cle a partir 
de l f adresse AD : par exemple, la cle peut etre 
const ituee par le premier bit de x mots success if s a 
partir de l'adresse AD. 
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REVEND ICAT IONS 



1. Procede de transmission cryptee d'une 
information (Kd) entre deux cartes a microprocesseur 
(CM, CP) qui ont chacune un fichier de memoire (120, 
220) a plusieurs adresses, ce fichier ayant un contenu 
5 identique pour les deux cartes, procede dans lequel on 
crypte 1 1 information dans la premiere carte, on transmet 
l 1 information cryptee de la premiere carte a la 
deuxieme, et on decrypte 1 1 information dans la deuxieme 
carte, ce procede etant caracterise en ce que le ^ 

10 cryptage et le decryptage sont ef f ectues avec pour cle ~ 
(Kc) le contenu d'une partie seulement du fichier de ^ 
memoire, identifiee par une donnee d'adressage (I) 
commune qui est utilisee par la premiere carte et 
transmise a la deuxieme carte. 

15 2. Procede de transmission cryptee selon la 

revendication 1, caracterise en ce que les cartes sont 
des cartes a microprocesseur comportant une memoire 
morte de programmes dont le contenu est notamment un 
systeme d 1 exploitation de la carte, et en ce que le 

20 fichier de memoire commun utilise comme reserve de cles 
de cryptage est la memoire morte de chacune des cartes. 

3. Procede selon I 1 une des revendications 1 et 2, 
caracterise en ce que la donnee d'adressage transmise de 
& la deuxieme carte est un index (I) permettant de 

25 calculer une adresse (AD) , et en ce que les deux cartes 
comportent en memoire un meme programme de calcul P(I) 
pour calculer une adresse a partir de l f index. 

4 . Procede selon la revendication 3 , caracterise 
en ce que 1 1 index est elabore dans la premiere carte. 

30 5 * Procede selon l'une des revendications 3 et 4, 
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caracterise en ce que l f index est: elabore de maniere 
aleatoire, par un generateur pseudo-aleatoire ou un 
programme de calcul d f un nombre aleatoire. 

6. Procede selon l'une des revendications 3a 5, 
5 caracterise en ce que I'adresse est calculee par une 
fonction polynomiale a partir de 1* index. 

7 • Procede selon 1 ' une des revendications 
precedentes, caracterise en ce que la premiere carte est 
une carte de calcul d'une cle de cryptage diversifiee 

10 (Kd) , cette cle etant destinee a etre stockee dans la 
deuxieme carte qui est une carte a personaliser, en ce 
que 1 1 information a transmettre est cette cle (Kd) , et 
en ce que la premiere carte envoie a la deuxieme a la 
fois la donnee d f adressage (I) et la cle diversifiee 

15 cryptee par une cle (Kc) trouvee dans le f ichier de 
memo ire a partir de la donnee d'adressage. 
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